di Paolo Reale
Probabilmente molti ricordano il caso della bomba nella scuola di Brindisi, a maggio 2012, che è stato risolto grazie alle registrazioni video di alcune telecamere di sicurezza: in effetti, il numero di sistemi di videosorveglianza in uso, per ragioni di sicurezza e per combattere la criminalità, è cresciuto notevolmente negli ultimi anni, e anche se è difficile fare una stima (non essendo necessarie particolari autorizzazioni per l’installazione, non sono disponibili numeri precisi), secondo alcune valutazioni in Italia ci sarebbero circa due milioni di telecamere.
La tecnologia utilizzata per la registrazione video da queste telecamere, in passato basata su memorizzazione su nastro, ormai da anni utilizza il formato digitale, mediante hard disk o dispositivi a stato solido. Nel corso del tempo si sono sovrapposte molte soluzioni tecniche, per cui quando si parla di “Videoregistratore Digitale” (o DVR, Digital Video Recorder) in realtà si parla di una variegata eterogeneità di apparati, che utilizzano sistemi operativi e tecnologie di compressione differenti. Se il DVR è funzionante, di solito non sussistono particolari problemi nel recupero ed utilizzo dei dati registrati, generalmente tramite i software proprietari per la copia e la relativa riproduzione.
Non è raro però il caso in cui il dispositivo DVR, che per qualche ragione è di interesse in un procedimento giudiziario, è danneggiato, oppure la struttura memorizzata (ad es. il file system) è compromessa, o volontariamente cancellata. In questi casi, solitamente, ci si deve rivolgere al produttore del dispositivo.
Se anche questa soluzione non è percorribile, esiste una sola alternativa: l’attività di reverse engineering, ovvero il processo di ricostruire il funzionamento di un meccanismo– in questo caso informatico – partendo dall’analisi del suo risultato. Cercando di semplificare, l’attività di reverse engineering consiste nell’utilizzo di un sistema identico (l’originale stesso, se possibile, o un altro perfettamente uguale), sul quale effettuare delle simulazioni sperimentali ben determinate, osservando quello che il sistema produce e da qui comprendere come e dove vengono memorizzate le informazioni.
In questa sede cercheremo di analizzare come sia possibile affrontare questa attività per uno specifico modello, l’HS-DVR 163, su cui è stata portata a termine con successo detta attività di ricostruzione: nel caso esaminato il disco era risultato non più leggibile dal sistema, come se fosse stato inizializzato, pur presentando al suo interno dati per tutta la sua capacità. I risultati qui presentati non possono essere validi per tutti gli altri modelli di DVR, ovviamente, ma l’approccio metodologico adottato sì, così come è vero che il funzionamento di questi apparati utilizza logiche tra loro simili, ovvero vengono utilizzate (da un punto di vista logico) strutture dati e meccanismi analoghi.
In primo luogo va precisato che, specie per gli apparati meno recenti, il supporto di memorizzazione (tipicamente un disco fisso come quelli che vengono utilizzati nei normali PC) deve assolvere la stessa funzione di un nastro, ovvero la registrazione continua di una serie di fotogrammi provenienti dalle telecamere: per detta ragione viene spesso adottata in questi dispositivi una modalità di scrittura sul disco ad accesso diretto, nel senso che non viene demandata ad un file system la memorizzazione dei dati. Questa soluzione, se dal punto di vista del produttore consente di ottimizzare (e velocizzare) le operazioni di lettura/scrittura sul disco, rende ancora più arduo il compito per chi deve poi interpretare le informazioni presenti. Innanzitutto perché, a seconda del microprocessore utilizzato, i dati possono essere gestiti utilizzando la modalità little endian o big endian: questo fa sì che sul disco i dati possano trovarsi rappresentati sia nella modalità “abituale” in cui il byte più significativo precede quello meno significativo, sia in quella contraria.
Nel caso del dispositivo in esame, i dati sono salvati in formato little endian (il byte meno significativo precede l’altro). Per analizzare il disco utilizzando strumenti standard è stato quindi necessario procedere ad un’operazione di “swap” dei byte, in modo da riportare il formato dei dati con il byte più significativo per primo. Grazie a questa operazione diventa banale il recupero di tutti fotogrammi presenti nel disco: utilizzando un qualunque programma di recupero dati (carving) che si basa sui “magic numbers” è possibile riconoscere i codici di inizio e fine delle immagini jpg e recuperarle integralmente. Nel caso del dispositivo in esame, in base alle caratteristiche note dal manuale, la registrazione viene effettuata nel formato M-JPEG (Motion JPEG), che prevede appunto la memorizzazione di ogni singolo fotogramma in formato JPG, senza compressione tra i fotogrammi (inter-frame).
Fin qui l’analisi non si rivela particolarmente complessa. Il problema, a questo punto, è la correlazione del fotogramma alla sua informazione temporale. Nella fattispecie, infatti, i fotogrammi non contengono alcuna indicazione sovraimpressa, né metadati (EXIF) riportanti alcuna informazione.
Altri articoli di Paolo Reale
La localizzazione dei servizi di emergenza di Paolo Reale (n.I_MMXX)
In un precedente articolo pubblicato nel 2017, avevamo sinteticamente illustrato alcune delle modalità disponibili in Italia per consentire la localizzazione geografica delle utenze telefoniche. A distanza di anni quanto avevamo descritto come strumenti utili alla geolocalizzazione è rimasto pressoché immutato, anche se forse è presente una maggiore consapevolezza dell’impellente necessità di fare un deciso passo avanti. Una nazione moderna deve essere in grado di provvedere a questa esigenza: quella di consentire il soccorso tempestivo e preciso a chi ha si trova in condizioni di emergenza, e per diversi motivi non può o non sa come formulare la propria richiesta, in particolare non riesce a comunicare dove si stia trovando.
L’analisi dei dati di geolocalizzazione provenienti dai dispositivi satellitari automobilistici di Paolo Reale (N. I_MMXVIII)
Nei casi giudiziari le informazioni raccolte dalle c.d. “scatole nere” possono diventare elementi essenziali per la ricostruzione dei fatti, dei movimenti, della presenza o meno nei luoghi di interesse da parte degli indagati, ma anche per la sincronizzazione oraria tra eventi di natura diversa, come una ripresa video.
LA LOCALIZZAZIONE DEI TERMINALI MOBILI NELLE SITUAZIONI DI EMERGENZA di Paolo Reale (N. II_MMXVII)
Nella situazione più tipica delle investigazioni si utilizzano le informazioni disponibili a livello di rete mobile per la localizzaizone delle utenze. La stima della posizione di un telefonino con la sola “cella” presente nel tabulato telefonico o telematico non può essere sufficiente per confermare se lo stesso risulti in un determinato punto del territorio, in quanto rappresenta una stima “probabilistica” e non “deterministica”. Diverso è invece il caso per il quale si richiede una localizzazione “in tempo reale” che si fonda sul metodo di triangolazione delle celle, anche utilizzata nell’ambito dei servizi di emergenza del Numero Unico Europeo per le emergenze. Esistono infine altre tecnologie, di precisione molto maggiore, che consentono una migliore localizzazione del telefonino.
Misure da una foto: un approccio tecnico-statistico per formulare stime affidabili di Paolo Reale (N. I_MMXVI)
Spesso nei casi giudiziari c’è la necessità di valutare delle misure relative alle dimensioni di oggetti o persone inquadrate, tuttavia a volte - per diversi motivi - non è possibile applicare i metodi di elaborazione delle immagini tramite software, oppure le immagini disponibili non sono state pensate per questi scopi, ma rimangono comunque le uniche testimonianze utili.
IOT Forensics: nuove sfide e opportunità nelle indagini scientifiche di Paolo Reale (n.II_MMXV)
In termini di sicurezza l’Internet Of Things (IoT) desta già diverse preoccupazioni. Sono evidenti anche le implicazioni in termini di privacy. Anche sotto il profilo ‘forense’ questi dispositivi rappresentano evidentemente un elemento di interesse: tramite questi ‘oggetti’ è possibile perpetrare dei crimini, e quindi si configurano come (nuovi) mezzi con i quali commettere dei reati.
I dati telefonici per finalità giudiziarie nelle applicazioni reali di Nanni Bassetti e Paolo Reale (n.III_MMXIV)
Overview dei dati che gli operatori telefonici possono fornire al fine di tracciare l’attività e la localizzazione dell’utente, ed un commento alle leggende “high tech” create nel tempo su essi.
ANALISI DEL DISCO FISSO DI UN SISTEMA DI VIDEOSORVEGLIANZA: UN ESEMPIO DI REVERSE ENGINEERING di Paolo Reale (n.I_MMXIV)
Probabilmente molti ricordano il caso della bomba nella scuola di Brindisi, a maggio 2012, che è stato risolto grazie alle registrazioni video di alcune telecamere di sicurezza: in effetti, il numero di sistemi di videosorveglianza in uso, per ragioni di sicurezza e per combattere la criminalità, è cresciuto notevolmente negli ultimi anni, e anche se è difficile fare una stima (non essendo necessarie particolari autorizzazioni per l’installazione, non sono disponibili numeri precisi), secondo alcune valutazioni in Italia ci sarebbero circa due milioni di telecamere.
Giustizia ed informatica forense: particolarità ed eccezioni di Nanni Bassetti e Paolo Reale (n.III_MMXIII)
Il Consulente Tecnico esperto in Digital Forensics si imbatte in situazioni di natura paradossale durante le operazioni eseguite su disposizione dell’autorita’ giudiziaria in materia civile e penale. Vediamone alcuni aspetti, come la mancanza dei requisiti richiesti a ricoprire tale ruolo e le tariffe relative alla sua remunerazione.
